Как стать автором
Обновить

Комментарии 2

Основные типы DDoS-атак — Layer 3 и Layer 7. Они названы так в соответствии с уровнями сетевой модели OSI, на которых выполняются.

Layer 3 DDoS нацелен на сетевое оборудование и соединения. В ходе атаки создаётся огромный паразитный трафик, например, с помощью SYN-пакетов (syn-flood).

Какая-то уж совсем грубая классификация.

Если взять из вашего примера SYN Flood, то SYN-флаг это атрибут TCP, протокола транспортного уровня (L4). Или NTP Amplification Attack тоже использует транспортный протокол, но уже UDP, и не дотягивает на L7-атаку. А вот IP Fragmentation Attack явно уже использует свойства IP, протокола сетевого уровня (L3). Противодействие этим атакам разное исходя из свойств их протоколов.

Поэтому если и классифицировать DDoS-атаки в Интернете по уровням сетевой модели OSI, то L3, L4, L7.

При этом нужно понимать, что атака уровнем выше может быть успешна, как атака нижестоящего уровня. Например, L7-атака HTTP Flood c миллиона хостов забьет входящим трафиком 100 Mbps порт, т.е. израсходует ресурсы на L1.

сервис защиты от DDoS есть у каждого приличного хостера и у каждого крупного оператора связи (на случай, если вы хостите свой сайт сами). Да, атаки на 500 Гб/с они не отобьют, но с другой стороны, такие атаки достаточно редки, а вот атаки в единицы Гб/с происходят по несколько раз на дню.Кроме того, надо учесть, что внешние сервисы очистки обладают принципиальным недостатком: если вы поменяли A запись на сервис очистки, а злоумышленникам стал известен настоящий IP адрес вашего сайта, то сервис очистки не поможет. Точнее поможет, если вы построите выделенный канал до сервиса очистки, минуя интернет. Только это экзотика.Ещё тонкий момент — если ваш сайт работает по HTTPS, вам нужно предоставить свои приватные(!!!) ключи сервису очистки. Иначе не будет очистки L7 трафика.

Резюмируя. По сути, есть 3 основных варианта фильтрации DDoS атак:
— железка у себя. Эффективна от атак уровня приложения и бесполезна от атак на забивание канала. Практически всегда используется, если ваш сайт HTTPS и вы параноик (напр., банк)
— сервис провайдера. Спасает от атак до десятков Гб/с (а это 99% атак, если вы не СМИ). Может использоваться в комбинации с железкой у себя.
— внешний сервис очистки. Может спасти от очень крупных атак. Имеет ахилесову пяту в виде возможности обойти сервис очистки. Комбинация с железкой у себя теоретически возможна, но скорее всего потребует собственной разработки (трансляция API вашей железки в API сервиса очистки)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий